Servicios de dominio de Active Directory para Skype Empresarial Server 2015

Skype for Business Server 2015
 

Última modificación del tema:2016-04-06

Servicios de dominio de Active Directory funciona como servicio de directorio para las redes de Windows Server 2003, Windows Server 2008, Windows Server 2012 y Windows Server 2012 R2. Servicios de dominio de Active Directory también constituyen la base sobre la que se ha creado la infraestructura de seguridad de Skype Empresarial Server 2015. El objetivo de esta sección es describir cómo Skype Empresarial Server 2015 utiliza Servicios de dominio de Active Directory para crear un entorno de confianza para las características de MI, conferencia web, medios y voz. Para obtener más información acerca de cómo preparar un entorno para Servicios de dominio de Active Directory, vea Instalar Skype Empresarial Server 2015 en la documentación sobre implementación. Para obtener más información acerca del rol de Servicios de dominio de Active Directory en redes de Windows Server, consulte la documentación de la versión del sistema operativo que está usando.

Skype Empresarial Server 2015 usa Servicios de dominio de Active Directory para almacenar:

  • La configuración global que requieren todos los servidores que ejecutan Skype Empresarial Server 2015 en un bosque.

  • La información de servicio que identifica los roles de todos los servidores que ejecutan Skype Empresarial Server 2015 en un bosque.

  • Algunas configuraciones de usuario.

Entre los requisitos de la infraestructura de Active Directory se incluyen los siguientes:

  • Requisitos del sistema operativo para los controladores de dominio

  • Requisitos del nivel funcional de dominio y bosque

  • Requisitos del dominio del catálogo global

Para obtener más información, vea Requisitos del entorno para Skype Empresarial Server 2015 en la documentación de implementación.

Durante la preparación del bosque, Skype Empresarial Server 2015 crea varios grupos universales dentro de Servicios de dominio de Active Directory con permiso para obtener acceso y administrar servicios y la configuraciones globales. Entre estos grupos universales se incluyen:

  • Grupos administrativos . Estos grupos definen los roles de administrador fundamentales de una red de Skype Empresarial Server. Durante la preparación del bosque, estos grupos de administradores se añaden a grupos de infraestructura de Skype Empresarial Server.

  • Grupos de servicio . Estos grupos son cuentas de servicio necesarias para acceder a varios servicios que presta Skype Empresarial Server.

  • Grupos de infraestructura . Estos grupos proporcionan permisos para acceder a áreas específicas de la infraestructura de Skype Empresarial Server. Funcionan como componentes de los grupos administrativos y no deben modificarse ni se deben agregar directamente usuarios a esos grupos. Durante la preparación del bosque, se añaden grupos de servicio y administración específicos a los grupos de infraestructura correspondientes.

Para obtener más información sobre los grupos universales específicos creados durante la preparación de AD para Skype Empresarial Server, así como sobre los grupos de servicio y administración que se añadieron a los grupos de infraestructura, consulte Changes made by forest preparation in Skype for Business Server en la documentación sobre implementación.

noteNota:
Skype Empresarial Server 2015 admite los grupos universales de Windows Server 2012, así como los sistemas operativos Windows Server 2003 para los controladores de dominios. Los miembros de grupos universales pueden incluir otros grupos y cuentas de cualquier dominio en el árbol de dominio o bosque, y se les pueden asignar permisos en cualquier dominio en el árbol de dominio o bosque. La compatibilidad de grupo universal, combinada con la delegación de administrador, simplifica la administración de una implementación de Skype Empresarial Server. Por ejemplo, no es necesario agregar un dominio a otro para que un administrador pueda administrar ambos.

Además de crear grupos universales de servicio y administración y añadir grupos de servicio y administración a los grupos universales correspondientes, la preparación del bosque también crea grupos de control de acceso basado en roles (RBAC). Para obtener más información sobre los grupos RBAC específicos creados por la preparación del bosque, consulte Changes made by forest preparation in Skype for Business Server en la documentación sobre implementación. Para obtener más información sobre los grupos RBAC, consulte Control de acceso basado en roles (RBAC) para Skype Empresarial Server 2015.

La preparación del bosque crea ACE privadas y públicas, y añade ACE en los grupos universales que crea. Crea ACE privadas específicas en el contenedor de la configuración global que usa Skype Empresarial Server. Este contenedor solo lo usa Skype Empresarial Server y está ubicado en el contenedor de la configuración o en el contenedor del sistema en el dominio raíz, en función de dónde almacene la configuración global.

El paso de preparación del dominio agrega las entradas de control de acceso (ACE) necesarias a los grupos universales que conceden permisos para hospedar y administrar los usuarios dentro del dominio. La preparación del dominio crea entradas ACE en la raíz del dominio y tres contenedores integrados: usuarios, equipos y controladores de dominio.

Para obtener más información sobre las ACE públicas creadas y agregadas durante la preparación del bosque y la preparación del dominio, consulte Changes made by forest preparation in Skype for Business Server y Changes made by domain preparation in Skype for Business Server en la documentación sobre implementación.

Las organizaciones bloquean a menudo Servicios de dominio de Active Directory (AD DS) para ayudar a mitigar los riesgos para la seguridad. Sin embargo, un entorno de Active Directory bloqueado puede limitar los permisos que Skype Empresarial Server 2015 requiere. Puede incluir la eliminación de ACE de contenedores y unidades organizativas y la deshabilitación de la herencia de permisos en los objetos User, Contact, InetOrgPerson o Computer. En un entorno de Active Directory bloqueado, los permisos deben establecerse manualmente en los contenedores y en las unidades organizativas que los requieren.

Durante la activación, Skype Empresarial Server 2015 publica información de servidor en las tres ubicaciones siguientes de Servicios de dominio de Active Directory:

  • Un punto de conexión de servicio (SCP) en cada objeto de equipo de Active Directory que corresponde a un equipo físico en el que está instalado Skype Empresarial Server 2015.

  • Objetos de servidor creados en el contenedor de la clase msRTCSIP-Pools .

  • Servidores de confianza especificados en Generador de topologías.

Cada objeto de Skype Empresarial Server 2015 en Servicios de dominio de Active Directory tiene un SCP denominado Servicios RTC, que a su vez contiene varios atributos que identifican a cada equipo y especifican los servicios que proporciona. Algunos de los atributos más importantes de SCP son serviceDNSName , serviceDNSNameType , serviceClassname y serviceBindingInformation . Las aplicaciones de administración de activos de otro fabricante pueden recuperar la información de servidor de una implementación consultando estos y otros atributos de los SCP.

Cada rol del servidor Skype Empresarial Server 2015 tiene un objeto de Active Directory correspondiente cuyos atributos definen los servicios proporcionados por dicho rol. Asimismo, cuando se activa un servidor Servidor Standard Edition, o cuando se crea un grupo de servidores Enterprise Edition, Skype Empresarial Server 2015 crea un nuevo objeto msRTCSIP-Pool en el contenedor msRTCSIP-Pools . La clase msRTCSIP-Pool especifica el nombre de dominio completo (FQDN) del grupo, junto con la asociación entre los componentes front-end y back-end del grupo de servidores. (Un servidor Servidor Standard Edition es un grupo de servidores lógico cuyos front-end y back-end se combinan en un único equipo.)

En Skype Empresarial Server 2015, los servidores de confianza son aquellos que se especifican al ejecutar Generador de topologías y al publicar su topología. La topología publicada, incluida toda la información del servidor, se almacena en el almacén de administración central. Solo los servidores definidos en el almacén de administración central son de confianza. En Skype Empresarial Server 2015, un servidor de confianza es el que cumple los siguientes criterios:

Si no se cumple alguno de estos criterios, el servidor no se considera de confianza y se rechaza la conexión con dicho servidor. Estos dos requisitos impiden que se produzca un posible ataque, aunque poco probable, en el que un servidor no autorizado intenta adoptar el FQDN de un servidor válido.

Además, para habilitar las implementaciones de Microsoft Office Communications Server 2007 R2 y Microsoft Office Communications Server 2007 para comunicarse con los servidores de Skype Empresarial Server 2015, Skype Empresarial Server 2015 crea contenedores durante la preparación del bosque para las listas de servidores de confianza de versiones anteriores. La siguiente tabla describe los contenedores creados para habilitar la compatibilidad con implementaciones anteriores.

Listas de servidores de confianza y sus contenedores de Active Directory para la compatibilidad con versiones anteriores

Listas de servidores de confianza Contenedor de Active Directory

Servidores de Standard Edition y servidores front-end del grupo Enterprise Edition

Servicio RTC/Configuración global

Servidores de conferencia

Servicio RTC/MCU de confianza

Servidores de componentes web

Servicio RTC/Servidores de componentes web de confianza

Servidores de mediación y servidores de Communicator Web Access, Servidor de aplicaciones, Registrador con QoE, Servicio de conferencia A/V (también servidores SIP de otros fabricantes)

Servicio RTC/Servicios de confianza

Servidores proxy

Skype Empresarial Server 2015 no admite la compatibilidad con versiones anteriores en servidores proxy

 
Mostrar: